책소개

갠드크랩은 2018년 4월부터 드라이브 바이 다운로드(Drive by Download, DBD)방식으로 유포되기 시작한 랜섬웨어다. 꾸준한 업데이트를 거쳐 12월 현재 v5.0.9까지 나왔으며, 본 보고서는 2018년 11월에 유포된 갠드크랩 랜섬웨어 v5.0.4의 특징 및 상세 분석을 작성한다.

갠드크랩 랜섬웨어 v5.0.4를 분석하기 전에 먼저, 갠드크랩 v5부터 v5.0.3까지의 특징을 알아보자. 갠드크랩 v5는 9월 말부터 국내에 유포되기 시작했으며 v5.0.1, v5.0.2 v5.0.3을 거쳐 11월 초에 랜섬웨어 v5.0.4가 유포됐고 12월 초에 v5.0.9까지 확인됐다. 갠드크랩 v5는 v4에서 사용하던 확장자인 KRAB을 임의의 5자리 문자열로 수정하고 랜섬노트를 텍스트 파일에서 HTML 파일로 변경했다. v5.0.1에선 랜섬노트를 다시 텍스트 파일로 생성하며, 확장자는 5~10자리 랜덤 문자열로 생성한다. 추가로 다른 프로세서에 악성 행위를 하는 명령어도 주입된다. 마지막으로 v5.0.3에서는 안랩의 v3 킬 코드가 추가됐다.

저자소개

목차

01 개요 및 감염 과정 8
1.1 개요 8
1.2 갠드크랩 감염 후 복구 비용 요구 과정 9
02 갠드크랩 감염 동작 방식 13
2.1 감염 대상 확인 13
2.2 PC 정보 수집 16
2.3 암호화 18
2.4 네트워크 통신 26
2.5 기타 행위 29
03 자동화 분석 31
04 정적 및 동적 분석 39
4.1 PE 정보 분석 39
4.2 리소스 및 실행 프로세스 분석 41
4.3 뮤텍스 및 라이브러리 정보 분석 44
4.4 네트워크 분석 45
4.5 레지스트리 및 파일 분석 47
05 상세 분석 51
5.1 실행 중인 프로세스 종료 51
5.2. 권한 및 운영체제 버전 확인 54
5.3 언어 확인 58
5.4 중복 실행 방지 59
5.4.1 드라이버 정보 획득 및 사진 도발 59
5.4.2 뮤텍스 생성 62
5.5 정보 수집 66
5.5.1 레지스트리 정보 획득 68
5.5.2 AV 및 기타 정보 수집 70
5.6 수집된 PC 정보 암호화(RC4 알고리즘) 76
5.7 랜섬노트 생성 암호화 81
5.7.1 랜덤 문자열 생성 81
5.7.2 개인 키/공개 키 생성 84
5.7.3 랜섬노트 생성 90
5.8 공유 폴더 암호화 93
5.8.1 Thread 0x143d07 93
5.8.2 공유 폴더 암호화 진행 과정 95
5.9 파일 암호화 101
5.9.1 Thread 0x14398c 101
5.9.2 파일 암호화 진행 과정 106
5.10 섀도우카피 삭제 117
5.11 바탕화면 변경 119
5.12 네트워크 통신 123
5.13 자기자신 삭제 129
06 대응 방안 및 예방 수칙 132